Вредоносная программа Cobalt использует законные инструменты для несанкционированного проникновения, чтобы получать доступ к большому количеству зараженных систем, но набор изменений доступен.

Хакеры используют недавно обнаруженную уязвимость Microsoft Office для распространения вредоносной программы Backdoor, которая способна контролировать зараженную систему, предоставляя злоумышленникам возможность извлекать файлы, выполнять команды и многое другое.

Хакерская программа Cobalt обладает такими мощными возможностями, потому что использует хорошо известный и допустимый инструмент для тестирования проникновений, Cobalt Strike – это форма программного обеспечения для Adversary Simulations и Red Team Operations, которая может использоваться для доступа к скрытым каналам в системе.

Единственное, что помогает кампании быть еще более сильной, – это использование эксплойта Microsoft Word, который был активным в течение 17 лет, но был раскрыт и исправлен ранее в этом месяце.

Вредоносный код CVE-2017-11882 – это уязвимость удаленного выполнения кода, которая существует в программном обеспечении Microsoft Office в результате чего, программное обеспечение обрабатывает определенные объекты в памяти.

Взломщики могут использовать эту ошибку в документе для запуска произвольного кода, что (если пользователь имеет права администратора) и позволяет хакеру выдавать команды или предоставлять вредоносное программное обеспечение, которое может управлять системой.

Несмотря на то, что уязвимость была раскрыта только несколько недель назад, исследователи из корпорации Fortinet успели обнаружить, что злоумышленники быстро воспользовались ею, в надежде распространить вредоносное ПО, прежде чем пользователи установили соответствующее обновление для системы безопасности.

Специальная кампания нацелена на русскоязычных пользователей со спам-сообщением, заявляющим, что это уведомление от компании Visa о внесении изменений в правила для услуги payWave.

Сообщение содержит защищенный паролем RTF-документ, который предоставляется пользователю для разблокировки. Этот RTF-файл содержит вредоносный код, но защита паролем помогает скрыть его от обнаружения.

После открытия, пользователь получает практически пустой документ, за исключением слов «Enable Editing». Однако, как и во многих кампаниях с вредоносными программами, странный характер этого документа служит прикрытием для его настоящего намерения, в данном случае, речь идет о запуске сценария PowerShell для загрузки Cobalt Strike и контроля над системой жертвы.

После установки злоумышленники могут контролировать систему жертвы и перемещаться по сети с помощью команд Cobalt Strike.

«Агенты угрозы всегда находятся в поиске слабых мест, чтобы внедряться в систему и использовать их для таких вредоносных кампаний, как эта. Это касается как новых, так и старых уязвимостей, независимо от того, были ли они размещены или нет. Мы часто имеем дело с вредоносными кампаниями, что используют уязвимости, которые были исправлены в течение нескольких месяцев или даже лет», – как писали исследователи корпорации Fortinet Джаспер Менюел и Джои Сальвио.

Также, они добавили – «Возможно, это исходит из предположения о том, что по-прежнему существует значительное число пользователей, которые не воспринимают серьезно обновления программного обеспечения, что, к сожалению, случается слишком часто».

Пользователи Microsoft Office могут загрузить важные обновления, которое защитят их от уязвимости CVE-2017-11882, – в то время как те, кто установил обновления, уже не подвержены этой атаке.

consalting

Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:

  • Защита от утечки конфиденциальной информации за пределы компании (DLP).
  • Защита от целенаправленных хакерских атак (APT).
  • Защита от DDOS.
  • Защита мобильных устройств (BYOD и MDM)
  • Аудит и проверка на уязвимость
  • Тесты на проникновение.

Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.

Остались вопросы? Обращайтесь к нашим специалистам.

Заполните форму справа и наши менеджеры свяжутся с вами в течении 10 минут.